✨作者简介:一名在校计算机学员、每天分享一些学习经验、和总结的课堂笔记。
✨座右铭:对于喜欢的事情,就要全力以赴
arp介绍
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
作用:将一个已知的IP地址解析成mac地址以保证通信顺利( 封装数据帧前一定先进行了arp)
arp工作过程
如上图,局域网内pc1如果想要给pc2发送数据包,那么封装时需要封装pc2的mac地址,这时pc1不知道pc2的mac地址怎么办?
那就要用到我们的arp了,首先pc1会查看自己的arp缓存表有没有与pc2匹配的项,如果没有pc1会通过交换机广播一个arp报文:包含了自己的mac地址IP地址和目标ip地址(目标mac地址为全F)pc2收到后查看报文中的ip地址和自身匹配则会将arp报文中的源IP地址和mac地址保存到自己的arp缓存里,其他主机收到报文后不匹配则丢弃。后pc2发送一个回应包,pc1收到回应包则会将pc2的地址保存在自己的arp缓存表里,然后封装数据帧进行发送。
本机缓存是有生存期的,生存期过后,将再次重复上面过程。
pc2的mac地址一旦确定,pc1就能向pc2发送IP通信了。
ARP报文格式:
动态arp表
动态ARP表项由ARP协议通过ARP报文自动生成和维护
可以被老化
可以被新的ARP报文更新
可以被静态ARP表项覆盖
当到达老化时间、接口down时会删除相应的动态ARP表项。
静态ARP表
静态ARP表项通过手工配置和维护
不会被老化
不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性
静态ARP表可以限制和指定IP地址的设备通信时只使用指定的MAC地址
查看arp缓存表
思科路由器查看arp缓存表方法:
router#show arp//查看arp缓存表
router#clear arp-cache//清楚arp缓存
主机查看arp缓存表方法:
win+R 输入cmd 进入命令行 输入
arp -a//查看arp缓存
arp-d//清除arp缓存
ARP攻击
针对 以太网 地址解析协议 ( ARP )的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。
目的:使被攻击者无法正常上网或者和其他主机通信
方法1:使用第三方软件,向被攻击者发送ARP应答包,包含网关和其他所有主机的IP和对应的虚假mac地址,使被攻击者发出去的数据帧找不到其他主机而无法正常通信和上网。
方法2:向除被攻击者以外的其他主机发送arp应答包,包含被攻击者的IP地址和对应的虚假mac导致除被攻击者外的其他主机找不到被攻击者使被攻击者无法正常通信和上网。
ARP欺骗
此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上特定计算机或者所有计算机无法正常连线。
目的:监控被攻击者和目标主机的通信
方法:使用第三方软件,冒充被攻击的主机,向网关发送ARP应答包,包含被攻击主机的IP和我的mac(欺骗网关让网关以为我就是被攻击的主机)
再向被攻击主机发送应答包,包含网关的IP和我的mac。(欺骗被攻击主机,让被攻击主机以为我就是网关)
防御 ARP 攻击并找出攻击主机
(1) 防御 ARP 攻击和 ARP 欺骗
仿御 ARP 攻击和欺骗最有效的方法就是 ARP 绑定,也就是在被攻击主机和网关上做 ARP 绑定就不会在受到 ARP 攻击的影响而出现网络故障。
(2)查找 ARP 攻击或者欺骗的主机
当网络出现问题时,可以通过 ARP 协议查到有问题主机的 MAC 地址,但是如果 MAC 地址没有记录或攻击者使用的是虚假 MAC 地址,那么应该如何解决问题主机?
当网络出现ARP病毒时,可以知道中病毒主机的 MAC地址(MAC 地址可能是虚假的)。经过查表没有发现对应主机,说明 ARP 病毒可能伪造了一个虚假的 MAC 地址。此时要查出问题主机,就要查看交换机的 MAC 地址表。
由于交换机学习数据帧中的源 MAC 地址,因此可以使用命令 showmacaddress-table 命令来查看端口学习到的 MAC 地址。从 MAC 地址表中找到问题的 MAC 地址,从而判断发出此 MAC 地址数据帧的主机下挂的交换机端口,再查看下挂交换机的 MAC地址表,最终确认一个端口下所有问题主机。